漏洞平台

POC详情： 8c6a45fe7cc32ef12bfcfa094384381fb62d7f0a

来源

https://github.com/JFOZ1010/CVE-2024-24549

关联漏洞

标题： Apache Tomcat 输入验证错误漏洞 (CVE-2024-24549)
描述：Apache Tomcat是美国阿帕奇（Apache）基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page（JSP）的支持。 Apache Tomcat存在输入验证错误漏洞，该漏洞源于HTTP/2请求的输入验证不正确，会导致拒绝服务。

描述

Proof of concept of the CVE-2024-24549, Exploit in Python.

介绍

# Apache Tomcat DoS Exploit (CVE-2024-24549)

## Descripción

Este repositorio contiene un exploit de prueba de concepto (PoC) para un ataque de denegación de servicio (DoS) contra **Apache Tomcat versión 9.0.83**, basado en un problema identificado en el manejo de encabezados HTTP y cargas útiles. Este script genera solicitudes HTTP maliciosas utilizando múltiples hilos para provocar la sobrecarga del servidor objetivo.

> **Nota**: Este exploit es únicamente para fines educativos y de investigación. No debe utilizarse para atacar sistemas sin la autorización expresa del propietario.

## Características

- **Soporte de múltiples hilos**: Envío concurrente de solicitudes maliciosas para maximizar el impacto.
- **Configuración personalizable**: Permite ajustar el número de solicitudes, hilos concurrentes, intervalo entre solicitudes y más.
- **Registro de actividad**: Guarda detalles de cada solicitud enviada en un archivo de registro.
- **Payload dinámico**: Genera encabezados HTTP y cuerpos de solicitudes aleatorios para evitar patrones predecibles.

## Uso

### Requisitos previos

- **Python 3.8+**
- Biblioteca estándar de Python (no requiere instalación adicional).

### Instalación

1. Clona este repositorio:
   ```bash
   git clone https://github.com/JFOZ1010/CVE-2024-24549.git
   cd CVE-2024-24549
   ```
2. Ejecucion: (Ejecuta el script con los siguientes argumentos):
   ```
    python3 exploit.py --host <IP_DEL_OBJETIVO> --port <PUERTO> --num-requests <NUM_SOLICITUDES> --concurrent-threads <HILOS> --request-interval <INTERVALO>
   ```
Parámetros:

    --host: Dirección del servidor objetivo (por defecto: localhost).
    --port: Puerto del servidor objetivo (por defecto: 8080).
    --num-requests: Número total de solicitudes a enviar (por defecto: 1000).
    --concurrent-threads: Número de hilos concurrentes (por defecto: 10).
    --request-interval: Intervalo entre solicitudes en segundos (por defecto: 0.5).
    --log-file: Nombre del archivo de registro (por defecto: requests.log).

文件快照


 [4.0K]  /data/pocs/8c6a45fe7cc32ef12bfcfa094384381fb62d7f0a
├── [4.4K]  exploit-cve2024-24549.py
├── [2.0K]  README.md
└── [5.0M]  requests.log

0 directories, 3 files

神龙机器人已为您缓存

备注

1. 建议优先通过来源进行访问。

2. 如果因为来源失效或无法访问，请发送邮箱到 f.jinxu#gmail.com 索取本地快照（把 # 换成 @）。

3. 神龙已为您对POC代码进行快照，为了长期维护，请考虑为本地POC付费，感谢您的支持。